基于RBF神經(jīng)網(wǎng)絡(luò)的通信網(wǎng)絡(luò)安全態(tài)勢感知方法

謝凱 代康

摘要：常規(guī)的感知方法在感知通信網(wǎng)絡(luò)安全態(tài)勢時(shí)，感知準(zhǔn)確率偏低，且感知精度容易受到網(wǎng)絡(luò)環(huán)境干擾因素影響。針對這一問題，本文提出了基于RBF神經(jīng)網(wǎng)絡(luò)的通信網(wǎng)絡(luò)安全態(tài)勢感知方法，將Suricata、Shellcodes等多種探測器應(yīng)用到通信網(wǎng)絡(luò)中，用于探測網(wǎng)絡(luò)流量數(shù)據(jù)，并提取數(shù)據(jù)特征；基于RBF神經(jīng)網(wǎng)絡(luò)計(jì)算網(wǎng)絡(luò)攻擊發(fā)生概率，根據(jù)計(jì)算結(jié)果，評估和感知通信網(wǎng)絡(luò)的安全態(tài)勢。通過對比實(shí)驗(yàn)證明，新的感知方法與現(xiàn)有方法相比感知準(zhǔn)確率更高，且對通信網(wǎng)絡(luò)中的影響因素具有極強(qiáng)的抗干擾能力，可以保證感知結(jié)果的精度。

關(guān)鍵詞：RBF神經(jīng)網(wǎng)絡(luò)；網(wǎng)絡(luò)安全態(tài)勢；感知方法；通信網(wǎng)絡(luò)

引言

隨著無線通信技術(shù)的快速發(fā)展，網(wǎng)絡(luò)覆蓋范圍的不斷擴(kuò)大，在不同信息接口之間，存在著海量的數(shù)據(jù)，這些數(shù)據(jù)也包含了許多私密的數(shù)據(jù)[1]。目前，人類所生成的海量數(shù)據(jù)呈幾何倍數(shù)增長，但在現(xiàn)實(shí)工作與生活中，此類數(shù)據(jù)隨時(shí)都會受到來自網(wǎng)絡(luò)的攻擊，從而引發(fā)了大量的網(wǎng)絡(luò)安全問題。根據(jù)社會調(diào)查，我國每年都有大量的信息泄露，并且呈直線上升的趨勢。網(wǎng)絡(luò)數(shù)據(jù)的安全性給企業(yè)造成了巨大的經(jīng)濟(jì)損失，這一點(diǎn)不容忽視[2]。有效地對網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行預(yù)測和識別，是保障網(wǎng)絡(luò)數(shù)據(jù)安全的關(guān)鍵。然而，現(xiàn)有的感知方式在安全檢測時(shí)，由于對信息的敏感度不夠，導(dǎo)致對信息安全狀態(tài)的估計(jì)與真實(shí)狀態(tài)之間的偏差很大，嚴(yán)重影響了無線通信網(wǎng)絡(luò)的安全狀態(tài)[3]。因此，針對通信網(wǎng)絡(luò)進(jìn)行安全態(tài)勢感知具有十分重要的意義。基于此，本文引入RBF神經(jīng)網(wǎng)絡(luò)，針對通信網(wǎng)絡(luò)安全態(tài)勢感知方法展開設(shè)計(jì)與研究。

1. 通信網(wǎng)絡(luò)流量數(shù)據(jù)探測與數(shù)據(jù)特征提取

流量探測是以當(dāng)前的網(wǎng)絡(luò)結(jié)構(gòu)為基礎(chǔ)，在網(wǎng)絡(luò)中布置各種探測器，并根據(jù)每個(gè)探測器的探測結(jié)果差異，對通過網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行統(tǒng)計(jì)分析。Netflow探測器是一種應(yīng)用于網(wǎng)絡(luò)接入端的網(wǎng)絡(luò)，用于對網(wǎng)絡(luò)接入端進(jìn)行采集和處理[4]。Suricata探測器和Snort探測器都是基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，但二者的探測重點(diǎn)和探測原理不同，一般根據(jù)監(jiān)測的需求部署到相應(yīng)的交換機(jī)或路由器等設(shè)備上。在提取數(shù)據(jù)特征時(shí)要求必須實(shí)現(xiàn)對通信網(wǎng)絡(luò)的全面覆蓋，針對異常態(tài)勢特征，對非數(shù)值特征進(jìn)行數(shù)據(jù)化處理，并在遵循歸一化數(shù)值特征合理化原則的基礎(chǔ)上，為通信網(wǎng)絡(luò)安全態(tài)勢感知核心屬性提供幫助。對于數(shù)值特征的歸一化處理，可將公式（1）作為依據(jù)：式中，F(xiàn)表示經(jīng)過歸一化處理后的數(shù)據(jù)特征；P表示定義特征值；ι表示特征數(shù)據(jù)長度；β表示數(shù)據(jù)特征標(biāo)準(zhǔn)值。

在完成對特征數(shù)據(jù)的歸一化處理后，針對不同的探測器功能，有針對性地從每一個(gè)探測器中提取核心屬性[5]。每一個(gè)核心屬性當(dāng)中都包含一個(gè)五元組，五元組由protocol、sport、sip、doprt和dip組成。除此之外，在Netflow探測器中除了包含上述五元組外，還包含結(jié)束時(shí)間屬性（ltime）、數(shù)據(jù)包數(shù)量屬性（pkt）、數(shù)據(jù)包大小屬性（byt）等。Suricata探測器當(dāng)中，除了包含上述五元組外，還包含服務(wù)類型屬性（service）、數(shù)據(jù)包大小屬性（byt）等。

為了能夠進(jìn)一步提升本文感知方法的性能，聚焦異常感知活動特征，針對上述兩種探測器，分別增加attack_num新屬性[6]。

對數(shù)據(jù)進(jìn)行預(yù)處理，主要有對非數(shù)字屬性進(jìn)行數(shù)量化和對數(shù)字屬性進(jìn)行標(biāo)準(zhǔn)化。對非數(shù)字屬性進(jìn)行數(shù)字表示時(shí)，通常使用兩種方法：One-Hot Encoding和Label Encoding。One-Hot Encoding一般適用于類與類間無次序關(guān)系的特性；Label Encoding可以應(yīng)用于針對數(shù)據(jù)類別之間具有順序關(guān)系的特征，對其進(jìn)行處理。由于本文中的非數(shù)字屬性之間沒有顯著次序關(guān)系，因此，利用獨(dú)熱編碼的方式，把非數(shù)字屬性的值轉(zhuǎn)換成以“0”“1”兩種形式代表的陣列，陣列的尺寸取決于不同類型的屬性個(gè)數(shù)，One-Hot Encoding可以從某種意義上實(shí)現(xiàn)對特征的增益[7]。通過標(biāo)準(zhǔn)化處理數(shù)字屬性，可以有效克服因?qū)傩宰兞烤S度差異而產(chǎn)生的錯(cuò)誤。

2. 基于RBF神經(jīng)網(wǎng)絡(luò)計(jì)算攻擊發(fā)生概率

將提取到的數(shù)據(jù)特征作為依據(jù)，為實(shí)現(xiàn)對通信網(wǎng)絡(luò)中攻擊發(fā)生概率的計(jì)算，為后續(xù)感知提供憑證，引入RBF神經(jīng)網(wǎng)絡(luò)，科學(xué)地訓(xùn)練由核心屬性到攻擊類別的模型，以此獲取異常態(tài)勢中不同類型攻擊發(fā)生概率[8]。RBF神經(jīng)網(wǎng)絡(luò)可以利用徑向基函數(shù)實(shí)現(xiàn)特征提取，徑向基函數(shù)在同一通道上進(jìn)行滑動位移，不得跨通道進(jìn)行運(yùn)算。

在本文設(shè)計(jì)的態(tài)勢感知方法當(dāng)中設(shè)置的決策引擎包含5個(gè)徑向基函數(shù)層，其基本運(yùn)算見公式（2）。

式中，RBF（x，y）表示對應(yīng)徑向基函數(shù)的輸出元素所在空間坐標(biāo)；p×q表示徑向卷積函數(shù)徑向大小，其中p表示長、q表示寬；Wi表示徑向基函數(shù)權(quán)重；Vi表示RBF神經(jīng)網(wǎng)絡(luò)的輸入數(shù)據(jù)值；b表示偏置。在此基礎(chǔ)上，提出了一種新的網(wǎng)絡(luò)模型，該模型具有去除冗余信息、減少數(shù)據(jù)維度、壓縮數(shù)據(jù)特性、降低網(wǎng)絡(luò)復(fù)雜度等功能[9]。

常用的網(wǎng)絡(luò)分類器運(yùn)算包括最大分類器、平均分類器、L2分類器。由于徑向基函數(shù)層自身可以完成對局部特征的提取，而池化層可以將局部信息進(jìn)行更深入的提取，并且對局部特征進(jìn)行了深度的壓縮，從而容易造成信息的損失。在這個(gè)過程中，每個(gè)探測器在經(jīng)過提煉數(shù)據(jù)的編碼之后，其最大的特征維度為42維，但是屬性維度卻很小。經(jīng)過多次的訓(xùn)練對比得出，在這個(gè)過程中，增加池化的效果并不好，所以在這個(gè)過程中，決策引擎并沒有增加池化層。在完全連通的層次上，通過對卷積、池化兩個(gè)層次的特征進(jìn)行融合，實(shí)現(xiàn)對局部特征的重構(gòu)，提高了模型的表達(dá)能力，通過上述運(yùn)算，RBF神經(jīng)網(wǎng)絡(luò)輸出的結(jié)果即為網(wǎng)絡(luò)攻擊發(fā)生概率計(jì)算結(jié)果。

3. 通信網(wǎng)絡(luò)安全態(tài)勢評估與感知

基于上述網(wǎng)絡(luò)攻擊發(fā)生概率計(jì)算結(jié)果，對通信網(wǎng)絡(luò)安全態(tài)勢進(jìn)行評估和感知。借助Snort威脅等級劃分激勵(lì)，采用一種基于層次結(jié)構(gòu)的網(wǎng)絡(luò)分析方法，實(shí)現(xiàn)對網(wǎng)絡(luò)安全態(tài)勢的可視化展示，并通過對通信網(wǎng)絡(luò)狀態(tài)的分析感知網(wǎng)絡(luò)安全態(tài)勢。攻擊的威脅性定量是通過分析各種類型的攻擊對整個(gè)網(wǎng)絡(luò)造成的傷害，從而對各種類型的攻擊所造成的傷害進(jìn)行有效的定量。對網(wǎng)絡(luò)安全狀況進(jìn)行科學(xué)評價(jià)，是實(shí)現(xiàn)對網(wǎng)絡(luò)安全形勢的正確判斷的前提。深度挖掘Snort入侵檢測探測器對警報(bào)類型的威脅級別進(jìn)行分類的機(jī)制，并從中提取出威脅級別的劃分原理，并對威脅級別進(jìn)行了劃分。共劃分三個(gè)威脅等級，分別為高威脅等級、中威脅等級和低威脅等級。在真實(shí)通信網(wǎng)絡(luò)環(huán)境中，態(tài)勢具有動態(tài)變化特征，因此在某一時(shí)間窗口上，某一主機(jī)的第種服務(wù)態(tài)勢可以用公式（3）表示：式中，Skj（t）表示t時(shí)間窗口第k個(gè)主機(jī)第j種服務(wù)的態(tài)勢感知結(jié)果；p（attacki）表示發(fā)生攻擊的概率；f（attacki）表示威脅值。根據(jù)上述運(yùn)算得到最終感知結(jié)果。

4. 對比實(shí)驗(yàn)

本文上述研究針對當(dāng)前通信網(wǎng)絡(luò)中存在的安全風(fēng)險(xiǎn)問題，引入RBF神經(jīng)網(wǎng)絡(luò)，提出了一種全新的安全態(tài)勢感知方法。為了進(jìn)一步驗(yàn)證這一方法的應(yīng)用性能，以及是否能夠解決現(xiàn)有感知方法在實(shí)際應(yīng)用中存在的問題，開展下述對比實(shí)驗(yàn)研究：實(shí)驗(yàn)中將本文提出的感知方法作為實(shí)驗(yàn)組，將基于Bio-PEPA的感知方法作為對照I組，將基于大數(shù)據(jù)的感知方法作為對照II組。利用三種感知方法在相同實(shí)驗(yàn)環(huán)境和實(shí)驗(yàn)條件下，對同一通信網(wǎng)絡(luò)進(jìn)行安全態(tài)勢感知。

實(shí)驗(yàn)選擇將UNSW-NB19數(shù)據(jù)集作為此次實(shí)驗(yàn)的實(shí)驗(yàn)數(shù)據(jù)集，該數(shù)據(jù)集的持續(xù)時(shí)間為8小時(shí)25分鐘，按照每5分鐘為一個(gè)時(shí)間窗口計(jì)算，實(shí)驗(yàn)數(shù)據(jù)集當(dāng)中共包含250000條數(shù)據(jù)。此次實(shí)驗(yàn)選擇該數(shù)據(jù)集當(dāng)中的150000條作為感知對象，將三種感知方法的訓(xùn)練集和測試集的比例均設(shè)置為5∶3。在該數(shù)據(jù)集當(dāng)中包含的數(shù)據(jù)可以實(shí)現(xiàn)對通信網(wǎng)絡(luò)真實(shí)場景的描述，描述的通信網(wǎng)絡(luò)規(guī)模較大，主機(jī)數(shù)量較多，攻擊類型豐富。數(shù)據(jù)集當(dāng)中包含了通信網(wǎng)絡(luò)的正常流量以及存在異常的9種攻擊流量，如表1所示。

為了更好地衡量三種感知方法的性能，選擇將感知結(jié)果的準(zhǔn)確率ACC作為衡量指標(biāo)，準(zhǔn)確率ACC的計(jì)算公式見公式（4）。式中，TP表示感知結(jié)果中正類樣本被判定為正類的數(shù)量；TN表示感知結(jié)果中負(fù)類樣本被判定為負(fù)類的數(shù)量；FN表示感知結(jié)果中正類樣本被判定為負(fù)類樣本的數(shù)量；表示感知結(jié)果中負(fù)類樣本被判定為正類樣本的數(shù)量。公式（4）中，TP、TN、FP、FN均未混淆矩陣中的參數(shù)。通過對各項(xiàng)參數(shù)的記錄，根據(jù)上述公式計(jì)算得出準(zhǔn)確率，針對10種不同類型的流量數(shù)據(jù)，將三者中感知方法感知結(jié)果的準(zhǔn)確率記錄如表2所示。

從得到的三種感知方法感知結(jié)果準(zhǔn)確率記錄結(jié)果可以看出，實(shí)驗(yàn)組方法針對每一種類型數(shù)據(jù)的感知準(zhǔn)確率均高于90%，并且針對normal類型數(shù)據(jù)可以實(shí)現(xiàn)100%的準(zhǔn)確；對照I組和對照II組方法針對每一種類型的感知準(zhǔn)確率僅能夠達(dá)到50%～70%范圍。由此可以看出，實(shí)驗(yàn)組感知方法的感知準(zhǔn)確率更高，感知精度更高。在上述實(shí)驗(yàn)基礎(chǔ)上，為進(jìn)一步對比三種感知方法的抗干擾能力，對通信網(wǎng)絡(luò)環(huán)境中的干擾項(xiàng)進(jìn)行設(shè)置，共設(shè)置三種干擾條件，第一組：噪聲為1.0254，方差為4.253e-02，感知門限為1.023；第二組：噪聲為1.2534，方差為0.0015，感知門限為1.3256；第三組：噪聲為1.5236，方差為4.1253e-02，感知門限為1.1253。針對上述三種實(shí)驗(yàn)條件，應(yīng)用三種感知方法對上述包含10種類型數(shù)據(jù)的實(shí)驗(yàn)數(shù)據(jù)集進(jìn)行感知，并記錄每次感知結(jié)果的偏移系數(shù)：

式中，h表示感知結(jié)果的偏移系數(shù)；d表示感知門限；s表示方差。根據(jù)公式（5），計(jì)算得出的感知結(jié)果偏差系數(shù)記錄如圖1所示。

從圖1三條折線可以看出，在三種不同的通信網(wǎng)絡(luò)環(huán)境中，實(shí)驗(yàn)組感知方法的感知結(jié)果偏移系數(shù)始終控制在0.10以下，而另外兩種感知方法感知結(jié)果的偏移系數(shù)均超過0.15，且在不同干擾條件下偏移系數(shù)也存在較大差別。根據(jù)“感知結(jié)果的偏移系數(shù)越大，感知結(jié)果精度越小；感知結(jié)果的偏移系數(shù)越小，感知結(jié)果的精度越大”這一理論可得，本文設(shè)計(jì)的感知方法具備更高的感知精度，且對通信網(wǎng)絡(luò)環(huán)境中存在的干擾因素具備極高的抗干擾能力。綜合上述兩方面得到的實(shí)驗(yàn)結(jié)果證明，本文設(shè)計(jì)的基于RBF神經(jīng)網(wǎng)絡(luò)的感知法方法與現(xiàn)有感知方法相比具備更高的感知精度，且對通信網(wǎng)絡(luò)中干擾因素的影響具備極高的抗干擾能力，能夠確保最終得到的感知結(jié)果更符合實(shí)際，為通信網(wǎng)絡(luò)的運(yùn)維管理提供更加可靠的事實(shí)依據(jù)。

結(jié)語

當(dāng)前信息化的快速發(fā)展使得通信網(wǎng)絡(luò)逐漸成為繼陸海空天之后的第五大領(lǐng)域空間。為確保通信網(wǎng)絡(luò)環(huán)境的安全，本文結(jié)合RBF神經(jīng)網(wǎng)絡(luò)，設(shè)計(jì)了一種全新的通信網(wǎng)絡(luò)安全態(tài)勢感知方法，并通過將該方法與其他現(xiàn)有感知方法的對比驗(yàn)證了該感知方法的應(yīng)用性能。盡管將RBF神經(jīng)網(wǎng)絡(luò)引入網(wǎng)絡(luò)環(huán)境，可以提高攻擊辨識能力和局勢計(jì)算精度，為信息環(huán)境下的局勢感知提供新的途徑，但是也帶來了更多的計(jì)算參數(shù)，使得感知的效率在一定程度上受到影響。因此，為了能夠在后續(xù)實(shí)現(xiàn)對通信網(wǎng)絡(luò)更加全面、細(xì)致、高精度和高效率的感知，針對當(dāng)前存在的問題，在后續(xù)研究中還將進(jìn)行更深入探索，從而促進(jìn)感知方法的應(yīng)用適應(yīng)性得到進(jìn)一步提升，為通信網(wǎng)絡(luò)安全提供更有力的保障。

參考文獻(xiàn)：

[1]沈?yàn)t軍，蔡晴，婁佳，等.基于Bio-PEPA的光纖網(wǎng)絡(luò)安全態(tài)勢動態(tài)計(jì)算系統(tǒng)[J].激光雜志，2023，44（2）：169-173.

[2]王偉.面向虛擬化網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)安全態(tài)勢要素提取及安全態(tài)勢預(yù)測應(yīng)用[J].電視技術(shù)，2023，47（1）：177-182.

[3]于燁，吳佳靜，馬國武，等.基于鯨魚算法改進(jìn)支持向量機(jī)的信息網(wǎng)絡(luò)安全態(tài)勢預(yù)測研究[J].微型電腦應(yīng)用，2022，38（12）：107-110.

[4]榮文晶，李帥，彭輝，等.基于時(shí)空關(guān)聯(lián)的核電5G網(wǎng)絡(luò)安全態(tài)勢感知方法研究[J].電子產(chǎn)品可靠性與環(huán)境試驗(yàn)，2022，40（S2）：1-5.

[5]宋錦平.鐵路局集團(tuán)公司客票系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)的研究[J].鐵路計(jì)算機(jī)應(yīng)用，2022，31（8）：62-65.

[6]劉宇萌.基于深度學(xué)習(xí)的無線通信網(wǎng)絡(luò)數(shù)據(jù)安全態(tài)勢感知研究[J].信息記錄材料，2022，23（8）：182-185.

[7]郭璇.基于直覺模糊集的無線網(wǎng)絡(luò)傳輸層安全態(tài)勢要素識別方法[J].自動化與儀器儀表，2022，（7）：54-57，61.

[8]肖鵬，王柯強(qiáng)，黃振林.基于IABC和聚類優(yōu)化RBF神經(jīng)網(wǎng)絡(luò)的電力信息網(wǎng)絡(luò)安全態(tài)勢評估[J].智慧電力，2022，50（6）：100-106.

[9]劉巖，韓璐，李娜.聯(lián)邦學(xué)習(xí)和證據(jù)理論在智慧城市網(wǎng)絡(luò)安全態(tài)勢感知中的應(yīng)用研究[J].電腦知識與技術(shù)，2022，18（15）：22-24.

作者簡介：謝凱，本科，講師，研究方向：電子與通信工程。